在過(guò)去的幾個(gè)月里，PCI Knowledge Base一直在對(duì)商業(yè)風(fēng)險(xiǎn)委員會(huì)有關(guān)欺詐和欺詐管理的支付卡行業(yè)法規(guī)標(biāo)準(zhǔn)的影響進(jìn)行系統(tǒng)化研究。我們所了解的一點(diǎn)是，總的來(lái)說(shuō)支付卡行業(yè)控制在減少內(nèi)部欺詐方面是最有效的。

有些控制措施是著眼于限制有權(quán)使用信用卡數(shù)據(jù)的員工數(shù)量，有的措施則是注重將多數(shù)員工使用的系統(tǒng)與持卡人數(shù)據(jù)環(huán)境相分離。不過(guò)支付安全領(lǐng)域的最熱門趨勢(shì)是兩種作為標(biāo)準(zhǔn)使用的技術(shù)。他們就是令牌網(wǎng)和端到端加密。

端到端加密目前解決的主要是內(nèi)部風(fēng)險(xiǎn)問(wèn)題。對(duì)于很多公司來(lái)說(shuō)，加密不是集中進(jìn)行管理的。它是一種可以輕松增加到應(yīng)用軟件中的特性;它可以存在于操作系統(tǒng)，數(shù)據(jù)庫(kù)，POS設(shè)備等等之中。甚至在持卡人環(huán)境中，部署各種不同加密和多重密鑰管理系統(tǒng)的情況也很常見(jiàn)。

在這種情況下，支付卡數(shù)據(jù)可能必須通過(guò)內(nèi)部的多重系統(tǒng)才能到達(dá)要求的銀行或者處理器。結(jié)果就是令人不勝其煩的"加密，解密，再加密"的各種環(huán)節(jié)，這也為未經(jīng)授權(quán)的內(nèi)部風(fēng)險(xiǎn)制造了缺口。

使用端到端加密的公司對(duì)進(jìn)入點(diǎn)數(shù)據(jù)進(jìn)行加密(比如說(shuō)POS，電子商務(wù)支付軟件和呼叫中心軟件)，然后將加密的數(shù)據(jù)通過(guò)傳遞流程傳遞到接收方。支付卡號(hào)碼不會(huì)以未經(jīng)加密的狀態(tài)存儲(chǔ)在零售方設(shè)備上。

幾種用于POS渠道和五花八門產(chǎn)品的設(shè)備也可以用于電子商務(wù)渠道，但是如果企業(yè)堅(jiān)持將這些數(shù)據(jù)存儲(chǔ)和使用于其他應(yīng)用軟件，那么這些設(shè)備中的任何一種都可能無(wú)法發(fā)揮作用。

端到端的另外一個(gè)關(guān)鍵點(diǎn)是，一些企業(yè)關(guān)注于企業(yè)對(duì)端到端的看法，而不是將終端作為接收方來(lái)定義。另外，在一些企業(yè)中用來(lái)處理返款的協(xié)議可以會(huì)在端到端環(huán)節(jié)中陷入混亂。

關(guān)于加密需要謹(jǐn)記的是端到端加密是12種支付卡行業(yè)控制方法中的一種。看起來(lái)在2010年秋季推出的PCI DSS需求新一代版本中不太可能會(huì)刪除其他11種PCI DSS控制，原因是每種控制都有其使用的地方。

另外，關(guān)于令牌能解決所有問(wèn)題的探討眾說(shuō)紛紜。令牌網(wǎng)是通過(guò)代理號(hào)碼或者令牌來(lái)替換信用卡號(hào)碼或者其他機(jī)密數(shù)據(jù)，然后將這些支付卡數(shù)據(jù)集中(或者外包)來(lái)減少內(nèi)部風(fēng)險(xiǎn)。

在理想的世界里這種構(gòu)思是可能的。不過(guò)在我們的研究當(dāng)中，我們發(fā)現(xiàn)沒(méi)有一家任何大型企業(yè)能夠完全將支付卡數(shù)據(jù)刪除或者外包，即使他們部署了令牌網(wǎng)。造成這種事實(shí)的原因包括企業(yè)需求，更改他們生產(chǎn)型應(yīng)用軟件所需的成本和實(shí)際查找和清除所有支付卡數(shù)據(jù)的難度。

另一方面，一些渠道單一或者采用高度集中數(shù)據(jù)體系架構(gòu)的小型企業(yè)在應(yīng)對(duì)令牌數(shù)據(jù)處理和法規(guī)遵從難題方面是最成功的。因此無(wú)論保存何種信用卡數(shù)據(jù)，這些企業(yè)都需要采用加密來(lái)符合法規(guī)需求和減少內(nèi)部風(fēng)險(xiǎn)。

我們的研究預(yù)測(cè)，在未來(lái)兩到三年內(nèi)端到端加密和令牌網(wǎng)將在幾乎所有的大型和中型企業(yè)中并存。一方取代另一方都需要將大型的，多渠道零售商或者服務(wù)提供商考慮在內(nèi)。